Podsumowanie artykułu: RODO w USA? Nowe ustawodawstwo stanowe zbliża się do rzeczywistości

W artykule omówiono wpływ ogólnego rozporządzenia w sprawie ochrony danych Unii Europejskiej (RODO) na przepisy dotyczące prywatności i praktyki w Stanach Zjednoczonych. Pomimo tego, że USA nie mają kompleksowego prawa dotyczącego prywatności danych, wpływ RODO jest już widoczny. Ustawodawcy stanowi podjęli inicjatywę w celu uchwalenia własnych ustaw o ochronie danych, takich jak Kalifornijska ustawa o ochronie konsumentów. Duże firmy technologiczne wzywają również do wyjściowego prawa prywatności w USA. Jednak każda wersja RODO, która przechodzi Kongres, prawdopodobnie zostanie rozwodniona. Artykuł twierdzi, że chociaż reguły ochrony danych w stylu europejskim mają cnoty, nie będą wystarczające, a potrzebne jest szersze podejście. USA muszą wkrótce działać, aby wdrożyć kompleksowe przepisy dotyczące prywatności, które będą miały globalne konsekwencje.

Kluczowe punkty:

  1. USA nie uchwaliły kompleksowego prawa dotyczącego prywatności danych.
  2. RODO już przekształca amerykańskie prawo prywatności i praktykę.
  3. Państwa zaczęły przekazywać własne ustawy o ochronie danych pod wpływem RODO.
  4. Duże firmy technologiczne wzywają teraz do podstawowego prawa prywatności USA.
  5. Amerykańska wersja RODO prawdopodobnie zostanie znacząco rozwodniona.
  6. Zasady ochrony danych powinny uwzględniać wpływ na środowisko, demokrację, rozpiętości uwagi i zdrowie emocjonalne.
  7. Kongres może również zająć się mocami monopolistycznymi dużych firm technologicznych.
  8. USA muszą wkrótce wdrożyć kompleksowe przepisy dotyczące prywatności.
  9. Kompleksowe przepisy dotyczące prywatności w USA będą miały globalne konsekwencje dla prywatności danych.
  10. Virginia przeszła własną ustawę o ochronie danych konsumenckich po ramach CCPA.

Pytania i odpowiedzi:

1. Jakie jest ogólne rozporządzenie w sprawie ochrony danych (RODO)?

Ogólne rozporządzenie w sprawie ochrony danych (RODO) to ustawa o ochronie danych ustanowiona przez Unię Europejską w 2018 r. Uznaje zasady i władze w celu ochrony danych osobowych osób fizycznych UE.

2. Czy RODO dotyczy tylko organizacji z siedzibą w UE?

Nie, RODO ma zastosowanie do każdej organizacji, która utrzymuje dane obywateli UE i każdego w strefie wolnego handlu Europejskiego Obszaru Gospodarczego (EOG), niezależnie od ich siedziby głównej.

3. Jaki jest obecny stan przepisów dotyczących prywatności danych w USA?

USA nie mają kompleksowego prawa dotyczącego prywatności danych. Istnieją jednak inicjatywy na poziomie stanowym, aby uchwalić ustawy o ochronie danych pod wpływem RODO.

4. W jaki sposób RODO wpływa na przepisy dotyczące prywatności w USA?

RODO miał już wpływ na amerykańskie prawo prywatności i praktykę. Państwa zaczęły przekazywać własne ustawy o ochronie danych, a duże firmy technologiczne wzywają do wyjściowego prawa prywatności w USA.

5. Jakie są kluczowe różnice między Europejskim RODO a proponowanymi amerykańskimi przepisami dotyczącymi prywatności?

Podczas gdy RODO i proponowane amerykańskie przepisy dotyczące prywatności podzielają cele przejrzystości i odpowiedzialności, amerykańska wersja RODO prawdopodobnie zostanie znacznie rozwodniona. Istniejący amerykański model wypowiedzenia i wyboru może zostać włączony do każdego prawa prywatności USA.

6. Jakie są ograniczenia zasad ochrony danych, takich jak RODO?

Zasady ochrony danych mogą być krótkowzroczne i nie uwzględniać wpływu przetwarzania danych na środowisko, demokrację, rozpiętości uwagi i zdrowia emocjonalnego.

7. Jakie opcje alternatywne ma Kongres w odniesieniu do prywatności danych?

Kongres mógłby bardziej przyjrzeć się mocom monopolistycznym dużych firm i różnic władzy między tymi firmami a ich klientami. Jednak wdrożenie szerszej wizji ludzkiego samopoczucia poprzez prawo prywatności jest mało prawdopodobne.

8. Jak pilna jest potrzeba kompleksowych przepisów dotyczących prywatności w USA?

USA nie mogą czekać wiecznie, aby wdrożyć kompleksowe przepisy dotyczące prywatności. Przepisy te będą miały konsekwencje dla prywatności danych na całym świecie.

9. Jaka jest Ustawa o ochronie danych konsumentów (CDPA) w Wirginii?

CDPA to kompleksowe prawo dotyczące prywatności danych konsumenckich uchwalone w Wirginii. To ściśle zgodne z ramami CCPA i wejdzie w życie 1 stycznia 2023 r.

10. Które państwa zaproponowały przepisy dotyczące prywatności zgodnie z ramami CCPA?

Waszyngton i Nowy Jork zaproponowały przepisy dotyczące prywatności, które odzwierciedlają CCPA.

11. Jakie są wymagania dla firm, które są zgodne z CDPA w Wirginii?

Firmy, które kontrolują lub przetwarzają dane osobowe co najmniej 100 000 konsumentów, lub kontrolują lub przetwarzają dane co najmniej 25 000 mieszkańców Virginii, którzy czerpią 50% lub więcej przychodów brutto od sprzedaży danych osobowych, muszą być zgodne z CDPA.

12. Jak odczuwa się wpływ RODO w Stanach Zjednoczonych?

Wpływ RODO w Stanach Zjednoczonych jest już widoczny poprzez uchwalenie statutu ochrony danych na poziomie państwowym i wpływ na praktyki prywatności dużych firm technologicznych.

13. Jaka jest rola dużych firm technologicznych w kształtowaniu amerykańskich przepisów dotyczących prywatności?

Duże firmy technologiczne wzywają teraz do wyjściowego prawa prywatności w USA, w której wszyscy przestrzegają. Ich wpływ wywiera presję na Kongres, aby dokonać wyboru w sprawie przepisów dotyczących prywatności.

14. Czym różnią się USA od Europy, jeśli chodzi o wdrożenie ochrony danych w stylu RODO?

USA różnią się od Europy, aby skutecznie wdrażać i egzekwować ochronę danych w stylu RODO. Każda amerykańska wersja RODO prawdopodobnie zostałaby rozwodniona i wyglądałaby bardziej jak istniejący amerykański model wypowiedzenia i wyboru.

15. Jak kompleksowe przepisy dotyczące prywatności w USA wpłyną na prywatność danych na całym świecie?

Kompleksowe przepisy dotyczące prywatności wdrożone w USA będą miały konsekwencje dla prywatności danych na całym świecie. USA są głównym graczem na rynku globalnym, a jego przepisy dotyczące prywatności będą wpływać na praktyki i przepisy na całym świecie.

RODO w USA? Nowe ustawodawstwo stanowe zbliża się do rzeczywistości

Ogólne rozporządzenie w sprawie ochrony danych (znanych również jako RODO) Unii Europejskiej to ustawa o ochronie danych, która weszła w życie w 2018 r. Ustanawia jeden zestaw zasad i władz w celu ochrony danych osobowych wszystkich osób UE. RODO ma zastosowanie do każdej organizacji, która utrzymuje dane obywateli UE i każdego w strefie wolnego handlu Europejskiego Obszaru Gospodarczego (EOG), nie tylko tych z siedzibą w UE.

Dlaczego europejska magia RODO nigdy nie będzie działać w USA

Internet jest z nami od ćwierć wieku, ale Stany Zjednoczone wciąż nie uchwaliły prawa wymagającego od swoich firm do przestrzegania znaczących zabezpieczeń prywatności danych. To ma znaczenie, ponieważ większość świata zachodniego’duże firmy technologiczne są amerykańskie. W 2020 roku Ameryka’Prywatność zostanie w końcu rozstrzygnięta.

W maju 2018 r. UE’S Ogólne rozporządzenie w sprawie ochrony danych (RODO) i już przekształca amerykańskie prawo i praktykę prywatności. RODO jest kompleksowym zestawem przepisów, a jego obszerne wymagania stają się globalną normą rynkową. W praktyce, jeśli chcesz prowadzić międzynarodową działalność w zakresie danych osobowych, musisz podążać przynajmniej duchem RODO, nawet w USA.

Ustawodawcy stanowi podjęli inicjatywę i wezwali Kongres’S ręka o prywatności, nawet jeśli Kongres nie ma’T zaktualizował swoje podejście do prywatności od lat. Pod wpływem RODO, państwa zaczęły przekazywać własne ustawy o ochronie danych, takie jak nowa Kalifornijska ustawa o ochronie konsumentów. A teraz, po latach sprzeciwu wobec regulacji, duże firmy technologiczne zaczęły wzywać do wyjściowego prawa prywatności w USA. Kongres znajduje się teraz w kanapce między oddolnym pędem ze strony państw, a na boki wpływy UE. W 2020 r. Będzie zmuszony dokonać wyboru.

Podczas gdy RODO i Stany Zjednoczone’ Propozycje różnią się w ważny sposób, każda mniej więcej wymaga przejrzystości i odpowiedzialności od firm i kontroli dla osób, które osoby. Ale każda wersja RODO, która może przejść przez Kongres, może również być znacznie rozwodniona i bardziej przypomina istniejący amerykański model wypowiedzenia (czytanie polityki prywatności) i wyboru (rezygnacja z Facebooka i Google).

Reguły ochrony danych w stylu europejskim mają niezaprzeczalne cnoty, ale wygrały’t niech wystarczy. RODO zakłada, że ​​przetwarzanie danych jest zawsze godnym celem, ale nawet uczciwie przetworzone dane mogą prowadzić do ucisku i nadużycia. Reguły ochrony danych mogą być również krótkowzroczne, ponieważ ignorują sposób, w jaki przemysł’Apetyt na dane to niszczenie naszego środowiska, naszej demokracji, naszej uwagi i zdrowia emocjonalnego. Nawet jeśli ochrona danych w stylu RODO była wystarczająca, USA są zbyt różne od Europy, aby wdrożyć i egzekwować takie ramy skutecznie na tych warunkach. Każda amerykańska wersja RODO RODO byłaby w praktyce.

Regulacja ochrony danych nie jest jednak jedyną opcją, jednak. Kongres mógłby zamiast tego trudniej przyjrzeć się dużym firmom technologicznym’ Na przykład monopol. Może to spojrzeć na ogromne różnice władzy między tymi firmami a ich klientami. I może wykorzystać prawo prywatności do wyrażania szerszej wizji ludzkiego samopoczucia, która proaktywnie reaguje na wyzwania wieku informacyjnego – choć realistycznie ta ostatnia opcja raczej nie skończy w księgach ustawowych.

Pewne jest jednak to, że USA mogą’Tknij na zawsze. W tym roku w USA zostaną wdrożone kompleksowe przepisy dotyczące prywatności. A formularz, który podejmują, będzie miało konsekwencje dla prywatności danych na całym świecie.

Woodrow Hartzog Profesor prawa i informatyki na Northeastern University. Neil Richards jest profesorem prawa i dyrektorem Cordell Institute na Washington University w St. Louis, St Louis

RODO w USA? Nowe ustawodawstwo stanowe zbliża się do rzeczywistości

Unia Europejska’S Ogólne rozporządzenie w zakresie ochrony danych (“RODO”) jest znany jako najtrudniejsze prawo prywatności i bezpieczeństwa na świecie, ponieważ ma szeroki zasięg i nakłada ciężkie grzywny wobec tych, którzy naruszają jego standardy prywatności i bezpieczeństwa (które są dość szerokie). Wpływ RODO był już odczuwany w Stanach Zjednoczonych, odkąd wszedł w życie w 2018 roku, a teraz u.S. Ustawodawcy w wielu stanach poruszają wprowadzenie podobnych przepisów. Kalifornijska ustawa o ochronie konsumentów (“CCPA”) był pierwszym przykładem RODO’S Wpływ w Stanach Zjednoczonych, gdy Kalifornia wprowadziła ustawę i przepisy, które pod względem GDPR odzwierciedlają GDPR. Teraz Virginia wprowadziła w ruch coś, co może być całorocznym ciągiem państw wprowadzających podobne przepisy. W szczególności Waszyngton i Nowy Jork zaproponowały przepisy zgodnie z ramami CCPA. W tym artykule porówna się CCPA z nowo uchwalonymi i proponowanymi przepisami dotyczącymi prywatności w Stanach Zjednoczonych.

Nowo uchwalone i proponowane akty prywatności:

Nowo uchwalona ustawa z Wirginii

2 marca 2021 r. Wirginia uchwaliła ustawę o ochronie danych konsumentów (“CDPA”), drugie kompleksowe prawo dotyczące prywatności danych konsumenckich w Stanach Zjednoczonych. CDPA wejdzie w życie 1 stycznia 2023. CDPA dotyczy osób lub podmiotów prowadzących działalność w Wirginii lub produkują produkty lub usługi oferowane mieszkańcom Virginia i to “kontrola lub proces” dane osobiste. Ustawa dotyczy firm, które (1) kontrolują lub przetwarzają dane osobowe co najmniej 100 000 konsumentów lub (2) kontrolują lub przetwarzają dane co najmniej 25 000 mieszkańców Virginii, które również uzyskują 50% przychodów brutto ze sprzedaży danych osobowych.

CDPA ściśle przestrzega ramy CCPA; Istnieje jednak kilka kluczowych różnic:

  • CDPA nie zawiera prywatnego prawa do działania. Raczej wszystkie działania muszą być wniesione przez prokuratora generalnego w Wirginii.
  • CDPA, podobnie jak CCPA, zwalnia dane, które są już regulowane przez niektóre wymienione przepisy federalne, takie jak HIPAA, GLBA, FCRA, FERPA i COPPA. Jednak zgodnie z CDPA zwolnienie GLBA jest szersze, ponieważ całkowicie zwalnia instytucje finansowe, a nie tylko podmioty danych. Ponadto istnieją zwolnienia oparte na danych dla Ustawy o uczciwej sprawozdawczości kredytowej, kierowca’Ustawa o ochronie prywatności oraz ustawa o prawach i prywatności federalnej oraz organizacje non -profit.
  • CDPA zawiera wymóg dotyczący przetwarzania poufnych danych osobowych, chyba że jest zwolniony.
  • CDPA definiuje “konsument” bardziej wąsko niż CCPA. CDPA wyklucza osoby działające w kontekście komercyjnym lub zatrudnienia.
  • Pod CDPA, “Sprzedaż danych osobowych” wymaga, aby wynagrodzenie było pieniężne w celu zakwalifikowania się jako sprzedaż danych. Przeciwnie, CCPA pozwala na pieniężne lub “Inne cenne rozważenie.”

Proponowana ustawa Waszyngtonu

The Washington Privacy Act, Senate Bill 6281 (“WPA”), jest proponowane przepisy, które odzwierciedlają CCPA. Podobnie jak RODO i CCPA, WPA zwiększa konsumentów’ Prawa dotyczące ich danych osobowych i zapewnia przejrzyste firmy w zakresie gromadzenia i przetwarzania danych konsumenckich. Dodatkowo WPA umożliwia konsumentom rezygnację z sprzedaży ich danych osobowych. WPA miałaby zastosowanie do firm, których produkty lub usługi są ukierunkowane na konsumentów z Waszyngtonu, jeśli firma: (1) kontroluje lub przetwarza dane ponad 100 000 konsumentów lub (2) wywodzi co najmniej 50% przychodów ze sprzedaży danych osobowych I przetwarza lub kontroluje dane osobowe ponad 25 000 konsumentów.

WPA i CCPA mają ważne podobieństwa, takie jak: (1) 30-dniowy okres leczenia; (2) Biznes musi usunąć konsumenta’S dane osobowe na ich żądanie; oraz (3) odpowiedzialność za firmę za proaktywność w informowaniu konsumentowi, jakie konkretne rodzaje danych osobowych gromadzą firma i jak wykorzystywane są takie dane. Istnieją jednak istotne różnice między nimi:

  • WPA ogranicza “dane osobiste” Definicja informacji dotyczących “zidentyfikowana lub możliwe do zidentyfikowania osobę naturalną,” podczas gdy definicja CCPA pozostaje szeroka i dotyczy informacji powiązanych z “szczególny konsument lub gospodarstwo domowe.”
  • WPA wyraźnie zapobiega lokalnym przepisom, rozporządzeniom i przepisom dotyczącym przetwarzania danych osobowych przez kontrolerów lub procesorów. CCPA nie.
  • WPA, w przeciwieństwie do CCPA, nie zawiera wymogu progu przychodów.
  • WPA, w przeciwieństwie do CCPA, obejmuje “dyskryminacja” Zapewnienie, które powstrzymuje firmy przed podejmowaniem ostatecznych zautomatyzowanych decyzji.
  • WPA ogranicza sposób, w jaki można wykorzystać technologię rozpoznawania twarzy. (Nowe zobowiązania do rozpoznawania twarzy wobec firm korzystających z rozpoznawania twarzy, w przypadku uchwalenia, przekraczają obecne obowiązki, z którymi stoją spółki na mocy Waszyngtonu’S Biometryczne prawo prywatności (RCW 19.375).)

Proponowana ustawa o nowojorskim

Z wszystkich proponowanych przepisów dotyczących prywatności, New York Privacy Act (S5642) (“Nypa”) jest prawdopodobnie najbardziej oczekiwany, ponieważ jego język jest znacznie odważniejszy niż CCPA. NYPA dotyczy szeroko “Podmioty prawne, które prowadzą działalność w Nowym Jorku lub produkują produkty lub usługi, które są celowo skierowane do mieszkańców Nowego Jorku.” Przy tak szerokim języku NYPA wydaje się dostosować do jak największej liczby firm, jednocześnie pomijając język progowy przychodów, jak widać w CCPA.

Chociaż NYPA może się zmienić przed jego uchwaleniem, jego obecny język odchodzi od CCPA na dwa sposoby:

  • Największą zmianą jest to, że firmy byłyby zobowiązane do działania “Dane powiernice.” Proponowane prawo stwierdza, że “Każdy podmiot, który gromadzi, sprzedaje lub licencjonuje dane osobowe konsumentów, wykona obowiązek opieki, lojalności i poufności oczekiwanej od powiernika w odniesieniu do zabezpieczenia danych osobowych konsumenta przed ryzykiem prywatności.” Ten obowiązek by “zastępować wszelkie obowiązki właścicielom lub akcjonariuszowi” istoty.
  • NYPA nie rozpoznaje dorozumianej zgody. W przeciwieństwie do CCPA, która uznaje dorozumianą zgodę, NYPA wymagałaby od firm wykazania, że ​​uzyskała jasną i proaktywną umowę od konsumentów w razie potrzeby.

Główny wynos

RODO’Wpływ w Stanach Zjednoczonych jest tutaj i wydaje się, że tu pozostaje, ponieważ więcej stanów idzie w ślady. Z dwoma głównymi przepisami dotyczącymi prywatności na każdym wybrzeżu i odmianami rozrzuconymi pomiędzy nimi, nie jest jasne, czy Kongres ostatecznie uchwa ustawę federalną, aby stworzyć jednorodność. Do tego czasu, ponieważ nowe przepisy są wprowadzane firmy, a firmy powinny być na bieżąco, aby chronić się przed potencjalnymi działaniami regulacyjnymi i procesami sądowymi.

RODO W U.S.: Uważaj o co prosisz

Czy najnowszy skandal na Facebooku może spowodować, że Ameryka na stałe zmieni sposób, w jaki radzimy sobie z naszymi przepisami dotyczącymi prywatności?

Seth p. Berman

Obecna uwaga na skandalu na Facebooku/Cambridge Analytica spowodowała, że ​​wielu komentatorów zasugerowało, że Stany Zjednoczone powinny przyjąć ustawę wzorowaną po Unii Europejskiej’S Ogólne rozporządzenie w sprawie ochrony danych (RODO), które wchodzi w życie 25 maja 2018 r. Rzeczywiście, nawet sam Facebook zaoferował zapewnianiu swoim amerykańskim użytkownikom takiej samej ochrony, jakim jest europejskim użytkownikom. Co ciekawe, mimo że coraz więcej Amerykanów powołuje się na RODO jako model, bardzo niewielu wydaje się rozumieć, czego właściwie wymaga RODO. Na przykład w ciągu ostatnich kilku tygodni słyszałem RODO podsumowany przez rzekomego eksperta “Prawo, które wymaga od konsumenta, aby zdecydować się na udostępnienie swoich danych;” Prawo to “ustanawia prawo do bycia zapomnianym;” I “Europa’S Prawo powiadomienia o naruszeniu danych.” Chociaż w każdym z tych twierdzeń istnieje prawda, takie streszczenia przeskakują tak wiele o tym, co nakazuje RODO, że pozostawia ludzi więcej, nie mniej, zdezorientowaną, co wiąże się z RODO, a być może nie przypadkiem, pozwala firmom twierdzić, że zapewniają ochronę podobną do RODO, nie zobowiązując.

Przed wyjaśnieniem bardziej szczegółowo, jakie zgodność RODO tak naprawdę pociąga za sobą opowiadanie o różnych podejściach do prywatności danych, które rozwinęły się w U.S. i UE. Największą główną różnicą jest to, że do tej pory, poza niektórymi mocno regulowanymi branżami, takimi jak opieka zdrowotna i bankowość, U.S. nie ma ogólnie obowiązujących przepisów dotyczących prywatności. Zamiast tego decyzje dotyczące tego, co można zrobić z jednostką’Dane S są pozostawione firmie, która przechowuje te dane, pod warunkiem, że firma nie była nieuczciwa na temat tego, w jaki sposób zamierza wykorzystać dane (które byłyby naruszeniem różnych statutu ochrony konsumentów). Niniejsze ramy prawne zaowocowały bardzo ekspansywnymi warunkami usług napisanymi przez firmy, które praktycznie wszyscy konsumenci klikną bez czytania przed zalogowaniem się na stronie internetowej. W ten sposób konsumenci w U.S. zdecydowanie zdecydowali się na dostarczenie danych firmom z bardzo niewielką ilością ograniczeń w zamian za bezpłatny lub obniżony dostęp do usług, które firmy świadczą firmy. Te ekspansywne warunki świadczenia usług są pierwszą linią obrony dla każdej firmy, która rzekomo wykorzystywała konsumentów’ Zaufanie – zasadniczo “Dałeś nam pozwolenie” (Nawet jeśli nie zrobiłeś’T zdaj sobie sprawę, że to zrobiłeś).

Najbliższe przybliżenie U.S. Obecnie ma szeroko zakrojone regulacje dotyczące prywatności danych to ustawy o powiadomieniu o naruszeniu danych. Statuty te, które różnią się w zależności od stanu, generalnie wymagają od organizacji powiadomienia osób dotkniętych dotkniętymi osobami, jeżeli ponosi naruszenie danych, które powodują utratę informacji osobowych (PII), takiego jak numer ubezpieczenia społecznego, numer karty kredytowej lub data urodzenia. To wcale nie są ustawy o prywatności. Zamiast tego są całkowicie retroaktywne (są one zaangażowane dopiero po wystąpieniu naruszenia bezpieczeństwa) i nie nakładają ograniczeń na to, co organizacja może zrobić z danymi osobowymi, pod warunkiem, że zapewniają bezpieczeństwo przed nieautoryzowanymi stronami trzecimi.

Dlaczego RODO ma znaczenie dla ciebie.S. Organizacje

RODO może mieć siedzibę w Europie, ale będzie nadal wpływać na globalne organizacje zbierające dane z Internetu

RODO to prawo uchwalone w UE i miało znaczące konsekwencje dla wszystkich firm działających w Europie. Jednak to prawo stało się “złoty standard” w miejscach daleko poza UE, ponieważ jest ona pod wieloma względami nowy standard w zakresie bezpieczeństwa danych i wymagań dotyczących prywatności danych dla wszelkiego rodzaju firm.

W tym artykule chcemy omówić wpływ, jaki RODO wywarł na amerykańskie firmy i dlaczego te ustawodawstwo powinno również mieć znaczenie dla organizacji amerykańskich. Kluczem do tego, dlaczego amerykańskie firmy powinny się troszczyć, jest to, że jest to najlepsza praktyka i pomoże im być przygotowanym w przypadku uchwalenia dużego prawa prywatności danych w USA.

Co to jest RODO?

Ogólne rozporządzenie w sprawie ochrony danych (znanych również jako RODO) Unii Europejskiej to ustawa o ochronie danych, która weszła w życie w 2018 r. Ustanawia jeden zestaw zasad i władz w celu ochrony danych osobowych wszystkich osób UE. RODO ma zastosowanie do każdej organizacji, która utrzymuje dane obywateli UE i każdego w strefie wolnego handlu Europejskiego Obszaru Gospodarczego (EOG), nie tylko tych z siedzibą w UE.

Ogólne rozporządzenie dotyczące ochrony danych (RODO) ustanawia wiele obiektów, które obsługują, przetwarzają i chronią dane. Te definicje pomogą ci w rozpoczęciu pracy z RODO i powiązanymi zasadami. RODO dzieli strony danych na trzy kategorie: podmioty danych, kontrolery i procesory.

„Temat danych” to osoba, której informacje są gromadzone. „Kontroler danych” to podmiot, który decyduje o okolicznościach, celach i metodach przetwarzania danych osobowych przedmiotów danych. Z drugiej strony „procesor danych” to firma, która obsługuje dane osobowe w imieniu kontrolera.

Kontrolery i procesory mogą znajdować się w dowolnym miejscu na świecie, w tym Stany Zjednoczone, w ramach RODO. Jest to znaczne odejście od poprzednich przepisów UE.

To, co stanowi dane osobowe, to kolejna kluczowa koncepcja RODO do zrozumienia. Tylko dane, które można wykorzystać do identyfikacji osoby, są chronione w ramach RODO. Na przykład sam wiek nie można użyć do identyfikacji osoby i nie jest objęty RODO, ale dane dotyczące wieku plus nazwy mogą być używane do identyfikacji osoby.

Zrozumienie kluczowych cech RODO

RODO jest przede wszystkim motywowana pragnieniem UE do stworzenia zjednoczonego rynku cyfrowego. Obecne wymagania RODO są kierowane przez pojęcia wymienione poniżej, a wszystkie trzy z nich mają zastosowanie do organizacji amerykańskich.

Proporcjonalność

Według RODO ilość przetwarzanych danych osobowych musi być proporcjonalna do przyczyny ich zebrania. To pociąga za sobą zebranie jak najmniejszych danych i zachowanie ich nie dłużej niż jest to wymagane do obsługi konsumenta.

Przezroczystość

Wszystkie osoby osoby mają prawo do poinformowania o przetwarzaniu ich danych osobowych i celach, do których są używane. Muszą również wyraźnie wyrazić zgodę. (Więcej informacji patrz Artykuły 7, 10, 11 i 12.) W przypadku większości firm RODO stanowi znaczącą zmianę. Musisz przejść od rezygnacji na postawę opt-in, jeśli chodzi o przetwarzanie danych.

Uzasadniony cel

Aby gromadzenie danych było legalne, organizacje muszą mieć uzasadniony powód do tego. Ilość danych osobowych potrzebnych do wykonania zadań biznesowych powinna być minimalna. Na przykład aplikacja do gier nie wymaga informacji o opiece zdrowotnej, dlatego nie powinno być wymagane gromadzenie danych, które nie mają wartości ekonomicznej.

Co RODO mówi o amerykańskich firmach?

RODO nie dotyczy bezpośrednio wszystkich amerykańskich firm, ale wpływa na nich pośrednio.

RODO dotyczy zarówno Stanów Zjednoczonych, jak i wszystkich innych narodów na całym świecie. Ponieważ art. 3 RODO, który określa zasięg geograficzny prawa, stanowi, że dotyczy to nie tylko firm w UE, ale także organizacji spoza UE, które dostarczają lub monitorują dane obywateli UE, tak jest.

Jeśli spełniony jest co najmniej jeden z następujących dwóch wymagań, RODO dotyczy wszystkich przedsiębiorstw USA, niezależnie od przychodów lub wielkości pracownika:

  • Nawet jeśli nie ma interakcji biznesowych, firma świadczy towary lub usługi dla mieszkańców UE.
  • Firma śledzi sposób zachowania użytkowników w Unii Europejskiej.

Nazwy, dane kontaktowe, specyfiki urządzenia, takie jak adresy IP, informacje biometryczne, zdjęcia i filmy należą do danych osobowych i zachowań objętych RODO.

Kryteria zgodności z RODO różnią się w zależności od cech firmy. Na przykład firmy z mniej niż 250 pracownikami nie są zobowiązane do śledzenia operacji przetwarzania danych. Jednak, jak stwierdzono w sztuce. 30 (5) Z RODO kryterium to ma zastosowanie tylko wtedy, gdy przetwarzanie nie stanowi zagrożenia dla praw i wolności danych, jeśli nie są przetwarzane żadne specjalne kategorie danych, lub jeśli przetwarzanie jest wykonywane bardzo rzadko rzadko.

Dlaczego RODO ma znaczenie?

Zmiany w ramach RODO są przeznaczone do odrzucania firm od podejścia do zgodności z tkasem do ochrony danych osobowych i prywatności oraz do strategii całej firmy do zarządzania życiem danych.

Na początek RODO obejmuje szerszy obszar geograficzny. Kwalifikowanie się w Europie nie jest konieczne. RODO będzie miało zastosowanie do każdej korporacji, która prowadzi działalność z obywatelami UE. Nawet jeśli zapewniasz usługę bez zysku, taką jak aplikacja, która jest dostępna dla osób w UE, jeśli zbierasz informacje cyfrowe, takie jak adresy IP lub uruchamianie plików cookie, możesz podlegać RODPR.

Jest też kwestia DPA do rozważenia. Władze ochrony danych (DPA) byłyby w stanie nałożyć jeszcze ostrzejsze grzywny za naruszenie danych osobowych. RODO ma trzypoziomowe podejście do kar. W przypadku najbardziej rażących wykroczeń, takich jak brak odpowiedniej zgody konsumentów na przetwarzanie danych, maksymalna kara wynosi 4% rocznych globalnych przychodów, czyli 20 mln EUR. Grzywna w wysokości do 2% rocznych przychodów na całym świecie dotyczyłaby mniej znaczących naruszeń, takich jak brak poinformowania o naruszeniu. Najwyższa kara za naruszenie ustawy o ochronie danych w Wielkiej Brytanii wynosi 500 000 funtów, a największą jak dotąd grzywną wyniosła 400 000 funtów, co zostało przyznane TalkTalk w 2016 r. Za wady bezpieczeństwa, które pozwoliły cyberprzestępcy uzyskać dostęp do danych konsumenckich ”z łatwością„.”

Zgodność z RODO jest szczególnie krytyczna, ponieważ zabezpieczenia technologiczne i organizacyjne w celu zabezpieczenia danych osobowych staną się niezbędne, a RODO określa przykłady przewidywanego. Obawy te obejmują mieszanie i szyfrowanie danych osobowych, zdolność do zachowania poufności, integralności i dostępności oraz mechanizmów oceny powodzenia środków bezpieczeństwa.

Ponadto zakres danych osobowych został poszerzony o identyfikatory online, takie jak adresy IP i tożsamości urządzeń mobilnych. Wymagane będzie wyraźne zgodę osób na przetwarzanie danych osobowych, a firmy nie będą już dozwolone do wykorzystania rozległych, nieczytelnych warunków. Osoby będą miały również nowe prawa w zakresie przetwarzania danych, takie jak wymazanie danych i przenośność danych, co jest pojemnością do przesyłania danych do innego kontrolera.

Jak RODO wpłynęło na prywatność danych na arenie międzynarodowej?

RODO wpłynęło na przepisy na całym świecie, w tym kraj ogólnego prawa Brazylii dotyczących ochrony danych osobowych, planowanego prawa ochrony danych osobowych w Chinach oraz proponowanej przez Indie ustawy o ochronie danych osobowych, aby wspomnieć o kilku. W Stanach Zjednoczonych Kalifornia i Wirginia uchwaliły przepisy oparte na RODO, podczas gdy inne stany, takie jak Waszyngton, nadal pracują nad pomysłami.

W Indiach RODO służył jako model planowanego PDPB w Indiach, który prawdopodobnie zostanie przedłożony przed parlamentem wkrótce w ostatecznym stanie. Indie rozważają rozszerzenie zakresu prawa o kategorię wrażliwych danych osobowych, która wymagałaby zgodności, nawet jeśli w Indiach nie zostaną zebrane żadne dane.

Wykazano, że podstawowe zasady otwartości, zachowania danych i bezpieczeństwa RODO mają powszechnie stosowane. Od 2018 r. Nastąpiła znacząca zmiana, z uznaniem, że obsługa danych osobowych przejrzystych i bezpiecznie jest koniecznością.

W skali światowej RODO podnosi również profil prywatności. RODO jest bardzo korzystną okazją dla specjalistów ds. Prywatności, zwiększając możliwości prywatności, ścieżki kariery i pracy, jednocześnie rozwijając silniejszą i bardziej zróżnicowaną pulę talentów prywatności. Mówiąc szerzej, RODO działało jako katalizator, aby przenieść prywatność na najlepsze programy CEO we wszystkich firmach.

RODO podniósł prywatność danych do priorytetu C-Suite w przedsiębiorstwach, przyspieszył dojrzewanie wielu programów prywatności i przeniósł wiele programów prywatności z podejścia do zgodności z tkasem na opracowanie kultury prywatności przez projektowanie i odpowiedzialność. Chęć organizacji do przestrzegania RODO nie jest zaskoczeniem, biorąc pod uwagę mechanizmy egzekwowania przepisów.

Przyszłość zgodności z RODO i prywatność danych

Chociaż RODO ustanowiło standard dla światowych ram ochrony danych.

Przypadki „Schrems” spowodowały wiele zamieszania w ostatnich latach, a proces adekwatności był mniej niż otwarty. Procedura oceny, czy kraj spełnia kryteria UE, jest uciążliwe, a przepisy można wzmocnić, opierając się na istniejących koncepcjach współpracy transgranicznej w innych handlu międzynarodowym.

Organizacje ściśle monitorują planowane ustawodawstwo EPRivacy UE, które zastąpi dyrektywa ePrivacy w określaniu standardów komunikacji elektronicznej, a także sugestie dotyczące regulacji sztucznej inteligencji, ponieważ działają one w drodze zgodności z RODO. Eksperci prywatności uważają, że te plany muszą być zgodne z RODO, gdy zostaną poddane przeglądowi.

Zasady RODO, takie jak odpowiedzialność, otwartość i sprawiedliwość, mogą służyć jako model przyszłych przepisów, w celu opracowania racjonalnych i praktycznych rozwiązań, które chronią osoby. Aby uniknąć fragmentacji przepisów dotyczących zarządzania danymi w UE, następne ustawodawstwo powinno szukać znacznej zgodności z zasadami RODO.